Schlagwort-Archive: Schadsoftware

Trend Micro als „Leader“ bei Endpoint Protection im Gartner Magic Quadrant

Originalartikel von Wendy Moore

Trend Micro ist von Gartner auch 2019 im „Magic Quadrant for Endpoint Protection Platforms“ (EPP) als „Leader“ bewertet worden. Diese Position weist Gartner Trend Micro seit 2002 jedes Jahr zu. Der EPP-Markt hat einen Wandel mit vielen Innovationen durchlebt. Trend Micro als „Leader“ unterscheidet sich von anderen dadurch, dass neue Techniken und Fähigkeiten einen Zuwachs für den Wert der Lösungen darstellen, und nicht bloß die Summe der Funktionen sind. Wahre Führungskompetenz ist nachhaltig und weist beständige Stärke in Vision und Ausführung auf, so die Überzeugung des Herstellers.

Trend Micro hat die Endpoint-Lösung kontinuierlich weiter entwickelt und ihr eine Vielfalt an Fähigkeiten für Threat Detection & Response hinzugefügt, in Kombination mit Untersuchungsfunktionen als fester Bestandteil einer Single-Agenten-Lösung, die die Bereitstellung vereinfachen und integrierte Workflows ermöglichen. Dies ergibt einen ausgewogenen, umfassenden Ansatz für die Endpunktesicherheit — ein Muss angesichts der Vielfalt der Bedrohungslandschaft.

Die primäre Aufgabe der Lösung besteht darin, ohne manuelle Intervention so viele Endpoint-Bedrohungen wie möglich zu erkennen und zu blockieren. Je mehr Bedrohungen automatisch verhindert oder gestoppt werden, desto weniger müssen untersucht und darauf reagiert werden. Dieser Punkt wird häufig unterbewertet oder gar nicht berücksichtigt.

Dringt eine Bedrohung dennoch durch, so bedarf es verwertbarer Erkenntnisse und eines investigativen Toolsets für Verfolgungs- und Aufräumaktivitäten sowie für die Ursachenanalyse. Die Tools müssen die am häufigsten benötigten und am stärksten genutzten Anwendungsfälle abdecken.

Trend Micro ist jedoch der Meinung, dass eine effiziente Lösung nicht nur durch die Verbesserung der Fähigkeiten entsteht. Sie muss mehr tun als das, wofür EDR allein konzipiert ist. Mit XDR geht Trend Micro über den Endpunkt hinaus. So gibt es seit kurzem die Möglichkeit, Email und Endpoints in der Untersuchung einer Erkennung zu kombinieren, so dass die Ursachenanalyse bis in die Emails (#1 Angriffsquelle) zurück gehen kann, um zu verstehen, wer sonst noch die Email erhalten hat oder wo eine bösartige Datei in Office 365 oder im Gmail-Posteingang liegt. Es ist einfacher, eine Bedrohung einzudämmen und ihre Ausbreitung zu stoppen, wenn Einsichten über den Endpunkt hinaus möglich sind – dies lässt sich mit EDR allein nicht verwirklichen.

Die umfassendere XDR-Strategie bietet Kunden ein Mittel, um ihre Erkennungs- und Reaktionsfunktionen über Emails, Endpunkte, Server, Cloud-Workloads und Netzwerke hinweg auf einer einzigen Plattform und/oder über einen Managed Service weiter zu integrieren und zu erweitern. Mit XDR können Anwender die gesamte Sicherheitssituation klar darstellen und Bedrohungen über Sicherheitsebenen hinweg effektiv verfolgen, erkennen, analysieren und darauf reagieren. XDR nutzt die Trend Micro-eigenen Produkte wie Apex One (Endpunkt), Deep Security (Server/Cloud Workloads), Deep Discovery und TippingPoint (Netzwerk) sowie Cloud App Security (Messaging und Zusammenarbeit). Sie bietet zudem professionelle Sicherheitsanalysen für die Alert-Korrelation sowie eine zusammenfassende Sichtbarkeit und Untersuchung von Ereignissen. Der Schlüsselwert von XDR besteht darin, dass kleinere Ereignisse aus verschiedenen Sicherheitssilos (wie EDR) verbunden werden können, um komplexere Angriffe zu erkennen, die sonst unbemerkt geblieben wären. Erfahren Sie mehr über XDR.

Ein Managed XDR Service kann Teams entlasten und bietet Kunden die Möglichkeit, den Service für einen oder eine Vielzahl von Sicherheitsvektoren – Endpunkt, Netzwerk, Server & Cloud Workloads, Email – als eine einzige Quelle der Erkennung und Reaktion zu nutzen. Je mehr Quellen korreliert werden können, desto besser ist der Einblick – das ist der Vorteil von XDR.

Der Gartner-Report kann hier heruntergeladen werden.

Sicherheit von 5G-Konnektivität im Unternehmen

Um von den Vorteilen von 5G zu profitieren, sind umfassende Vorbereitung und Planungen erforderlich. Es bietet sich an, zuerst die Änderungen zu erfassen, die 5G-Netzwerke für ein Unternehmen und dessen Sicherheit mit sich bringen

Die Erwartungen an 5G sind nicht nur wegen dessen technischer Weiterentwicklung hoch, sondern auch wegen der weiteren Technologien, die der Standard ermöglicht. Die neueste Generation der mobilen Funkkommunikation ist eine Antwort auf die schnelle Ausbreitung digitaler Technologie. Heutige schwankende Geschwindigkeiten von 4G- und älteren Netzwerken zeigen nur zu deutlich, wie überfüllt Verbindungen geworden sind. Unbestreitbar besteht ein Bedarf an Breitbandnetzwerken, die nicht nur schneller sind, sondern auch eine konsistente Konnektivität für bedeutend mehr Geräte liefern können

Doch die kommenden Vorteile kann nur nutzen, wer einen realistischen Ansatz für die Implementierung von 5G wählt. Dazu gehört auch eine Vorbereitung auf die dynamische, volatile, datengetriebene Art und Weise des Standards, denn diese Charakteristiken können für die Sicherheit eines Unternehmens Folgen haben und damit die von 5G angekündigten Fortschritte zunichtemachen.

Cybersecurity- und Datenfragen in 5G
Einer der ersten Problembereiche bei der Umsetzung von 5G ist die Menge der gesammelten Daten und wie sie interpretiert werden. Das wiederum wirft Sicherheitsbedenken auf, insbesondere im Hinblick auf die Erkennung. Der Start von 5G könnte die Überprüfung von Regeln zum Herausfiltern von bösartigem Netzwerkverkehr erforderlich machen, da die derzeit verwendeten Regeln die Feinheiten des mit 5G möglichen, stark individualisierten Verkehrs möglicherweise nicht erkennen. Das Hinzukommen weiterer IoT-Geräte könnte zusätzlich Zuordnungsprobleme für Sicherheitsstatistiken bereiten, die bislang nur zur Überwachung von menschlichen Teilnehmern verwendet wurden – im Gegensatz zu Maschinenteilnehmern, einem zweiten Teilnehmertyp, der aus IoT-Geräten besteht.

Von entscheidender Bedeutung für die Vorbereitung auf 5G ist auch die allgemeine Cybersicherheitsstrategie des Unternehmens bezüglich der Übertragung von Daten. Sicherheit muss nach sorgfältiger Planung umgesetzt werden und schließt eine organisierte Struktur mit ein, die dazu beiträgt, Angriffe zu verhindern oder ihre Auswirkungen abzuschwächen sowie Raum für notwendige Veränderungen in der Zukunft zu schaffen. Das Fehlen einer Sicherheitsarchitektur führt möglicherweise zu deiner Verzögerung des Einsatzes neuer Technologien wie der von 5G.
Zudem hat der Wechsel von hardware- zu softwaredefinierten Netzwerken einen Einfluss auf die benötigten Fähigkeiten für den geeigneten Betrieb und Absicherung von Netzwerkprozessen. Unternehmen werden mehr Fachleute brauchen, die die Hauptprobleme in einem softwaredefinierten Netzwerk identifizieren können, und gleichzeitig für eine erweiterte Incident Response sorgen. Aktuelle Sicherheitsteams müssen möglicherweise auch ihre Fähigkeiten in der Softwarecodierung ausweiten, um mit höherer Genauigkeit  Daten, die mit der Verwendung von 5G verbunden sind, zu interpretieren und zu profilieren

Absichern des Unternehmens
Verschiedene Sicherheitstechniken und –technologien unterstützen bei der Lösung dieser Fragen und erleichtern den Wechsel auf 5G. Abhilfe bei sinkender Leistung einer Sicherheitsarchitektur infolge von schwachen Erkennungsraten kann beispielsweise der Einsatz eines Sicherheitsorchestrators schaffen oder geschäftsorientierte Regeln auf Machine Learning-Basis, die Sicherheit und Vertraulichkeit als Funktion einsetzen. Die Verwendung von 5G Machine Learning kann auch dabei unterstützen, eine neue Referenzlinie zu erstellen, die wiederum identifiziert, was akzeptabler Netzwerkverkehr ist. Dadurch wird der Druck auf Sicherheitspersonal oder Experten im Unternehmen reduziert

Einzelheiten zu den möglichen Auswirkungen von 5G auf die Unternehmenssicherheit sind im Trend Micro-Whitepaper „The Deep Blue Sea of 5G” enthalten.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloudkann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen

Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).
Weiterlesen

IDC MarketScape für weltweite E-Mail Security führt Trend Micro als „Leader“

Originalbeitrag von Wendy Moore

Das Marktforschungsinstitut IDC hat Trend Micro im „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ (Dezember 2016).als „Leader“ eingestuft.

Weiterlesen →

Endpoint-Lösungen können Unternehmen vor Ransomware schützen

Originalartikel von Marvin Cruz, Ryuji Fortuna und Joselito Dela Cruz / blog.trendmicro.de

Allein für dieses Jahr prognostiziert das FBI einen Gesamtschaden von einer Milliarde $ durch Ransomware. Und das Geschäft boomt. Kleine und mittlere Unternehmen haben meist nur begrenzte Ressourcen für starke Sicherheitslösungen zur Verfügung. Trotz mehrschichtiger Sicherheit könnten die Unternehmensnetzwerke gefährdet sein, wenn die Bedrohung aus bekannten und vertrauenswürdigen Quellen kommt, etwa Partner, Drittanbieter, Kontakte oder auch den Mitarbeitern selbst. Angesichts dieser Aussichten könnten Endpunktlösungen mit gutem Verhaltensmonitoring und Anwendungskontrolle die letzte Verteidigungslinie gegen Ransomware darstellen.

Weiterlesen

Neue Crypto-Ransomware JIGSAW spielt fiese Spiele

Originalbeitrag von Jasen Sumalapao

Mit der kürzlich entdeckten Crypto-Ransomware Jigsaw geht die Entwicklung im Verhalten der Erpressungssoftware einen Schritt weiter. Diese Schadsoftware spielt mit dem Nutzer, indem sie dessen Dateien inkrementell blockiert und löscht. Damit schürt sie die Angst und setzt ihre Opfer unter Druck zu zahlen. In Anlehnung an den Film „Saw“ bringt sie sogar ein Bild der Billy-Puppe auf den Bildschirm.

Mittlerweile ist es Teil des Ransomware-Spiels, „einzigartige“ Funktionalität hinzuzufügen oder „kreative“ Wege zu finden, die Angst der Opfer zu steigern, damit diese das gewünschte Lösegeld zahlen. Technisch gesehen gibt es nicht viele Unterschiede zwischen den einzelnen Varianten. Jigsaw gehört zur berüchtigten Familie von Petya und Cerber.

Weiterlesen